[C++]Hooks

03/21/2010 20:22 Tyrar#1

so... ich denke mal, dass ich euch eine der wichtigsten teile in sachen gamehacking hier erkl�ren kann, oder zumindest versuchen zu erkl�ren:p

fangen wir mal damit an, was ich benutze:
-Visual Studio 2008 Professional + Visual Assist X
-IDA Pro Free
-ein game

los gehts:
erstellt euch eine struktur, wodrin ihr informationen �ber einen hook speichert.
bei mir sieht das so aus:

Code:

[...]
typedef struct
{
BYTE* pBackup;
LPVOID* lpOriginal;
LPVOID* lpHook;
LPVOID* lpSub;
LPVOID* lpReturn;
}SHOOKINFO,*LPSHOOKINFO;
[...]

pBackup ist die kopie von dem �berschriebenen speicher (sp�ter mehr)
lpOriginal ist die original funktions adresse
lpHook ist die funktion, die wir anspringen wollen!
lpSub ist eine zwischenfunktion, die lpHook ausf�hrt, und auf lpReturn zur�ck springt.
lpReturn ist eine backup funktion, die den �berschriebenen speicher ausf�hrt, und zu der adresse von originalen+�berschriebene byte l�nge springt.
als n�chstes sollte ein globale variable erstellt werden, in der wir ALLE hook informationen speichern (auch mehrere). dazu nehme ich std::vector<typename>. das sieht so aus:

Code:

#include <vector>
[...]
std::vector<SHOOKINFO> hooks;
[...]

jetzt kommen wir zum interessanten teil, dem eigentlichen hook!
ein hook funktioniert so:
er �berschreibt die ersten bytes einer funktion, mit den bytes die daf�r sorgen dass die funktion als erstes an eine andere funktions adresse springt.
von dieser funktionsadresse KANN man die �berschriebenen bytes ausf�hren, und an die original adresse + �berschriebene byte l�nge springen, um die originale funktion aufzurufen.
da ich noch eine subfunktion habe die das alles f�r mich �bernimmt (an neue adresse springen, und hinterher das backup ausf�hren), wird der letztere teil eher unn�tig!
die subfunktion sieht bei mir so aus:

Code:

__declspec(naked) void hkSub()
{
__asm
{
pushfd //register backup
pushad //register backup
call 0xDEADBEEF //platzhalter f�r die neue funktion
popad //register backup laden
popfd //register backup laden
jmp 0xDEADBEEF //platzhalter f�r die backup funktion
}
}

die platzhalter werden sp�ter durch die "richtigen" adressen ersetzt.

Code:

[...]
#define ASM_JMP 0xE9 //byte-op-code f�r den JMP befehl!
[...]
SHOOKINFO AttachHook(LPVOID lpOriginal,LPVOID lpNew)
{
DWORD dwOldProtect;
SHOOKINFO info;
info.lpSub = VirtualAlloc(NULL,sizeof(&hkSub),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
info.lpReturn = VirtualAlloc(NULL,10,MEM_COMMIT,PAGE_EXECUTE_READWRITE); //wie ich auf 10 komme? �berschriebene bytes(5)+jmp(1)+DWORD(4)
VirtualProtect(lpOriginal,5,PAGE_EXECUTE_READWRITE,&dwOldProtect); //wie ich auf 5 komme? jmp(1)+DWORD(4)
info.pBackup = new BYTE[5];
memcpy(&info.pBackup[0],lpOriginal,5);
memcpy(lpOriginal,(void*)ASM_JMP,1); //jmp an den anfang schreiben
memcpy((void*)((DWORD)lpOriginal+1),info.lpSub,4); //adresse hinterher schreiben!
VirtualProtect(lpOriginal,5,dwOldProtect,0);
memcpy(info.lpSub,&hkSub,sizeof(&hkSub));
memcpy((void*)((DWORD)info.lpSub+3),lpNew,4); //das erste 0xDEADBEEF durch lpNew ersetzen!
memcpy((void*)((DWORD)info.lpSub+10),info.lpReturn,4); //das zweite 0xDEADBEEF durch info.lpReturn ersetzen!
memcpy(info.lpReturn,&info.pBuffer[0],5); //die �berschriebenen bytes in die backup funktion schreiben
memcpy((void*)((DWORD)info.lpReturn+5),(void*)ASM_JMP,1); //jmp schreiben
memcpy((void*)((DWORD)info.lpReturn+6),(void*)((DWORD)lpOriginal+5),4); //die adresse hinterher schreiben, wo der jmp befehl auf die sub funktion zuende ist!
return info;
}

startet jetzt IDA, und analysiert das spiel! (k�nnte etwas dauern)
wenn IDA fertig ist, guckt mal in die register karte "Functions", und sucht nach einer funktion die interessant sein k�nnte. Ob die funktion euch interessiert, k�nnt ihr am namen lesen (wenn sie einen hat).
nehmen wir mal an, die funktion liegt an adresse 0x00618942.
dann muss euer code so aussehen:

Code:

__declspec(naked) void hkNothing()
{
//do something
}
[...]
AttachHook((void*)0x00618942,&hkNothing);

ich hoffe da sind keine fehler drin, und dass es hilfreich war:D

03/21/2010 23:50 flo8464#2

Der Code ist leserlich wie Spaghetti und du gibst einen Schei� auf 64bit-Kompatibilit�t, aber trotzdem mal was brauchbares, netter Beitrag ;)

Wenn wir langweilig ist, werde ich deinen Code mal in sch�neres C++ mitsamt x64-Unterst�tzung portieren, mal sehen.

03/22/2010 04:06 P-a-i-n#3

Quote:

Originally Posted by flo8464

Der Code ist leserlich wie Spaghetti und du gibst einen Schei� auf 64bit-Kompatibilit�t, aber trotzdem mal was brauchbares, netter Beitrag ;)

Wenn wir langweilig ist, werde ich deinen Code mal in sch�neres C++ mitsamt x64-Unterst�tzung portieren, mal sehen.

so ein quatsch das wird sogar unter 64 bit unterst�tzt arbeite genauso wie er und hab nie probleme

das ist kein hook d3 hook wo sich die adressen �ndern dies aber auch im system32 nimmt man den devicepointer von spielen so �ndert der sich nicht ;)

also l�uft auf 32bit so wie 64bit
wenn man wei� wie und wo man es anwenden muss ist der source klasse :)

03/22/2010 06:43 flo8464#4

Quote:

Originally Posted by P-a-i-n

so ein quatsch das wird sogar unter 64 bit unterst�tzt arbeite genauso wie er und hab nie probleme

das ist kein hook d3 hook wo sich die adressen �ndern dies aber auch im system32 nimmt man den devicepointer von spielen so �ndert der sich nicht ;)

also l�uft auf 32bit so wie 64bit
wenn man wei� wie und wo man es anwenden muss ist der source klasse :)

Viel Spa� mit pushad/popad unter 64bit ;)

Unde der Rest deines Postings macht irgendwie keinen Sinn.

03/22/2010 08:13 Tyrar#5

Quote:

Originally Posted by flo8464

Viel Spa� mit pushad/popad unter 64bit ;)

Unde der Rest deines Postings macht irgendwie keinen Sinn.

argh >.<
is eben f�r 32 bit XD

naja ich wusste schon immer dass ich sowas nich kann XD

egal versuch war es wert

03/22/2010 12:32 P-a-i-n#6

das man das nicht 1 zu 1 verwenden kann ist klar
aber aus der erkl�rung kann man sich vieles ableiten
ich arbeite eh anders wenn ich es schreibe dann w�rd es so aussehen
und das geht ganz sicher unter 64bit
nur als bsp

DWORD funktion= 0x0XXXXXX;

_asm
{
XOR EAX,EAX;
PUSH Ent;
CALL funktion;
add esp, 4
MOV Ret, AL;
}

03/22/2010 13:21 flo8464#7

Quote:

DWORD funktion= 0x0XXXXXX;

_asm
{
XOR EAX,EAX;
PUSH Ent;
CALL funktion;
add esp, 4
MOV Ret, AL;
}

Das ist gleich mehrfach falsch :p

1. Passen 64bit-Addressen nicht in ein DWORD (4byte unsigned long). Hier w�rde sich DWORD_PTR anbieten, das ist ein typedef auf unsigned long bei 32bit und ein unsigned long long bei 64bit.

2. Das du mit den 32bit Registern bei 64bit Programmen recht bl�d dastehst sollte auch klar sein ;)

3. Deine Return-Value ist sogar unter 32bit falsch, die g�ngigen Calling Conventions nutzen prinzipiell bei 32bit den ganzen EAX-Register zur R�ckgabe, nur AL zu nutzen ist nicht gerade geschickt.

03/22/2010 14:21 MrSm!th#8

Quote:
Originally Posted by HeavyHacker
Spoiler
so... ich denke mal, dass ich euch eine der wichtigsten teile in sachen gamehacking hier erkl�ren kann, oder zumindest versuchen zu erkl�ren:p

fangen wir mal damit an, was ich benutze:
-Visual Studio 2008 Professional + Visual Assist X
-IDA Pro Free
-ein game

los gehts:
erstellt euch eine struktur, wodrin ihr informationen �ber einen hook speichert.
bei mir sieht das so aus:
Code:
[...]
typedef struct
{
BYTE* pBackup;
LPVOID* lpOriginal;
LPVOID* lpHook;
LPVOID* lpSub;
LPVOID* lpReturn;
}SHOOKINFO,*LPSHOOKINFO;
[...]
pBackup ist die kopie von dem �berschriebenen speicher (sp�ter mehr)
lpOriginal ist die original funktions adresse
lpHook ist die funktion, die wir anspringen wollen!
lpSub ist eine zwischenfunktion, die lpHook ausf�hrt, und auf lpReturn zur�ck springt.
lpReturn ist eine backup funktion, die den �berschriebenen speicher ausf�hrt, und zu der adresse von originalen+�berschriebene byte l�nge springt.
als n�chstes sollte ein globale variable erstellt werden, in der wir ALLE hook informationen speichern (auch mehrere). dazu nehme ich std::vector<typename>. das sieht so aus:
Code:
#include <vector>
[...]
std::vector<SHOOKINFO> hooks;
[...]
jetzt kommen wir zum interessanten teil, dem eigentlichen hook!
ein hook funktioniert so:
er �berschreibt die ersten bytes einer funktion, mit den bytes die daf�r sorgen dass die funktion als erstes an eine andere funktions adresse springt.
von dieser funktionsadresse KANN man die �berschriebenen bytes ausf�hren, und an die original adresse + �berschriebene byte l�nge springen, um die originale funktion aufzurufen.
da ich noch eine subfunktion habe die das alles f�r mich �bernimmt (an neue adresse springen, und hinterher das backup ausf�hren), wird der letztere teil eher unn�tig!
die subfunktion sieht bei mir so aus:
Code:
__declspec(naked) void hkSub()
{
__asm
{
pushfd //register backup
pushad //register backup
call 0xDEADBEEF //platzhalter f�r die neue funktion
popad //register backup laden
popfd //register backup laden
jmp 0xDEADBEEF //platzhalter f�r die backup funktion
}
}
die platzhalter werden sp�ter durch die "richtigen" adressen ersetzt.
Code:
[...]
#define ASM_JMP 0xE9 //byte-op-code f�r den JMP befehl!
[...]
SHOOKINFO AttachHook(LPVOID lpOriginal,LPVOID lpNew)
{
DWORD dwOldProtect;
SHOOKINFO info;
info.lpSub = VirtualAlloc(NULL,sizeof(&hkSub),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
info.lpReturn = VirtualAlloc(NULL,10,MEM_COMMIT,PAGE_EXECUTE_READWRITE); //wie ich auf 10 komme? �berschriebene bytes(5)+jmp(1)+DWORD(4)
VirtualProtect(lpOriginal,5,PAGE_EXECUTE_READWRITE,&dwOldProtect); //wie ich auf 5 komme? jmp(1)+DWORD(4)
info.pBackup = new BYTE[5];
memcpy(&info.pBackup[0],lpOriginal,5);
memcpy(lpOriginal,(void*)ASM_JMP,1); //jmp an den anfang schreiben
memcpy((void*)((DWORD)lpOriginal+1),info.lpSub,4); //adresse hinterher schreiben!
VirtualProtect(lpOriginal,5,dwOldProtect,0);
memcpy(info.lpSub,&hkSub,sizeof(&hkSub));
memcpy((void*)((DWORD)info.lpSub+3),lpNew,4); //das erste 0xDEADBEEF durch lpNew ersetzen!
memcpy((void*)((DWORD)info.lpSub+10),info.lpReturn,4); //das zweite 0xDEADBEEF durch info.lpReturn ersetzen!
memcpy(info.lpReturn,&info.pBuffer[0],5); //die �berschriebenen bytes in die backup funktion schreiben
memcpy((void*)((DWORD)info.lpReturn+5),(void*)ASM_JMP,1); //jmp schreiben
memcpy((void*)((DWORD)info.lpReturn+6),(void*)((DWORD)lpOriginal+5),4); //die adresse hinterher schreiben, wo der jmp befehl auf die sub funktion zuende ist!
return info;
}
startet jetzt IDA, und analysiert das spiel! (k�nnte etwas dauern)
wenn IDA fertig ist, guckt mal in die register karte "Functions", und sucht nach einer funktion die interessant sein k�nnte. Ob die funktion euch interessiert, k�nnt ihr am namen lesen (wenn sie einen hat).
nehmen wir mal an, die funktion liegt an adresse 0x00618942.
dann muss euer code so aussehen:
Code:
__declspec(naked) void hkNothing()
{
//do something
}
[...]
AttachHook((void*)0x00618942,&hkNothing);
ich hoffe da sind keine fehler drin, und dass es hilfreich war:D

ganz nett in der theorie, aber du hast etwa vergessen.
n�mlich wenn am anfang der funktion nur eine instruction mit 1 byte ist und du damit auch eine zweite zum teil �berschreibst.
oder wenn die instruction gr��er als 5 bytes ist.
dann wird das in die hose gehen, da dadurch entweder keine g�ltigen oder einfach die falschen instructions entstehen.
klar, bei api funktionen gibts normalerweise am anfang eine sinnlose instruction wie mov edi,edi aber bei anderen funktionen, wo sofort am anfang push ebp steht, haste ein problem.
da klappt das so nicht, denn in diesem falle m�sste man die opcodes parsen und dann die richtige l�nge an bytes sichern. d.h. du nimmst entweder eine fertige disassembler lib, wie die von Olly oder BeaEngine oder du schreibst deine eigene ;) Wenn du wirklich nur vor hast, den Hook am Anfang zu platzieren, kannste die meisten opcodes vernachl�ssigen und nur nach den g�ngigsten am anfang einer funktion suchen (unwahrscheinlich dass direkt am anfang zb. gecalled wird). aber wie gesagt, ganz ohne gehts nur bei api funktionen

03/22/2010 15:29 P-a-i-n#9

Quote:

Originally Posted by flo8464

Das ist gleich mehrfach falsch :p

1. Passen 64bit-Addressen nicht in ein DWORD (4byte unsigned long). Hier w�rde sich DWORD_PTR anbieten, das ist ein typedef auf unsigned long bei 32bit und ein unsigned long long bei 64bit.

2. Das du mit den 32bit Registern bei 64bit Programmen recht bl�d dastehst sollte auch klar sein ;)

3. Deine Return-Value ist sogar unter 32bit falsch, die g�ngigen Calling Conventions nutzen prinzipiell bei 32bit den ganzen EAX-Register zur R�ckgabe, nur AL zu nutzen ist nicht gerade geschickt.

geht es zu 100% au�erdem ist es nur ein teil von einer weit gr��eren funktion vergess nicht das ist nicht das 1x1
beim programmieren f�hren viele wege nach oben ich hab dir nur gezeigt wie ich es aufrufe die komplette funktion hab ich nicht kopiert es ist nur ein kleiner teil von weit mehr
das ist von CoD4 checkt ob ein gegener unsichtbar ist und f�rbt dann das boxesp um damit kannst dur die denken was da noch alles n�tig ist das es klappt
da h�ngt noch eine riesige struct dran und es funktioniert ohne probleme ;)

nur weil du ein wegf�hrst muss ich den nicht auch fahren wenn es noch andere gibt

und ruf es so auf
BOOL funktion( CEntity* Ent )
und nicht mit

__declspec

das macht schon unterschiede so nu genug diskutiert jeder macht es anderes wichtig ist das es geht

03/22/2010 15:38 flo8464#10

COD 4 gibt es doch gar nicht als 64bit Binary?

Und nein, die physikalischen Gesetze verbieten es, "andere Wege" zu gehen. ;)

03/22/2010 16:47 P-a-i-n#11

wir machen es so du hast recht und ich meine ruhe sonst endet das hier nie

03/24/2010 16:26 MrSm!th#12

Mein erw�hntes Problem am Source k�mmert wohl niemanden >.<

03/25/2010 09:33 Tyrar#13

Quote:

Originally Posted by MrSm!th

ganz nett in der theorie, aber du hast etwa vergessen.
n�mlich wenn am anfang der funktion nur eine instruction mit 1 byte ist und du damit auch eine zweite zum teil �berschreibst.
oder wenn die instruction gr��er als 5 bytes ist.
dann wird das in die hose gehen, da dadurch entweder keine g�ltigen oder einfach die falschen instructions entstehen.
klar, bei api funktionen gibts normalerweise am anfang eine sinnlose instruction wie mov edi,edi aber bei anderen funktionen, wo sofort am anfang push ebp steht, haste ein problem.
da klappt das so nicht, denn in diesem falle m�sste man die opcodes parsen und dann die richtige l�nge an bytes sichern. d.h. du nimmst entweder eine fertige disassembler lib, wie die von Olly oder BeaEngine oder du schreibst deine eigene ;) Wenn du wirklich nur vor hast, den Hook am Anfang zu platzieren, kannste die meisten opcodes vernachl�ssigen und nur nach den g�ngigsten am anfang einer funktion suchen (unwahrscheinlich dass direkt am anfang zb. gecalled wird). aber wie gesagt, ganz ohne gehts nur bei api funktionen

ich habe dabei ziemlich allgemein gedacht ;)
nat�rlich wenn man ganz am anfang z.b.

Code:

mov edi, edi
call 0x00000001

kommt am ende nur scheisse raus!

das sollte eigendlich nur eine grundanleitung sein ;)